DragonForce 랜섬웨어 분석

DragonForce Ransomware - Reverse Engineering Report

Resecurity | DragonForce Ransomware - Reverse Engineering Report

 

• 초기 감염 및 유포 방식
  • 피싱 이메일을 통해 악성 파일 첨부 또는 링크 클릭 유도
  • 사용자로 하여금 매크로 활성화를 유도하여 악성 코드 실행
  • 문서 열람 시 매크로를 통해 시스템에 악성코드 주입
• 실행 및 페이로드 전개
  • 원격 파일 복사(T1105) 기법을 통해 네트워크 내 다른 디렉토리로 확산
  • 레지스트리 조작 또는 예약 작업 생성을 통한 지속성 확보
  • 로그 제거(T1070), 보안 툴 비활성화(T1089), 방어 무력화(T1562)로 탐지 회피
  • 관리자 권한 획득 시 Access Token 조작을 통해 SYSTEM 권한 확보
  • 페이로드 난독화(T1027), DLL 동적 로딩 및 함수명 암호화
  • 코드 내 중국어 텍스트 시그니처 존재
• 파일 암호화 프로세스
  • AES-256 및 RSA 알고리즘을 사용하여 중요 파일 암호화
  • 암호화된 파일에 Base32 인코딩 및 .dragonforce_encrypted 확장자 추가
  • 개별 시스템별 고유 키 생성 및 비대칭 암호화 방식 사용
  • 파일 암호화 성공 후 랜섬노트(README.txt) 생성 및 안내
• 정보 수집 및 로그 기록
  • 감염된 시스템에서 운영체제 정보, 계정, 네트워크 설정 등 수집
  • 수집된 정보는 C:\Users\Public\log.log에 기록
  • 공격자가 시스템 가치를 분석하고 추가 공격을 준비하는 데 사용
• 명령제어(C2) 서버와 통신
  • HTTP/HTTPS 기반으로 C2 서버와 주기적 통신
  • 시스템 식별 정보 및 공개키 전송
  • 일부 변종은 암호화 전 민감 정보 유출 기능 포함
  • RDP, SMB 취약점 악용 및 자격 증명 탈취 통한 내부 확산 시도
• IOC(침해 지표)
  • C2 IP 주소
    • 2.147.68.96
    • 185.59.221.75
    • 69.4.234.20
  • 파일 해시 13종 이상 존재 (SHA-256 기반)
  • 이란 IP 기반 C2와 중국어 코드 시그니처로 보아 다국적 협력 가능성 제기
• MITRE ATT&CK 기반 TTP
  • 초기 접근: Exploit Public-Facing Application (T1190), User Execution (T1204)
  • 실행: Remote File Copy (T1105)
  • 방어 회피: Indicator Removal (T1070), Obfuscation (T1027), Impair Defenses (T1562), Disable Security Tools (T1089)
  • 권한 상승: Access Token Manipulation
  • 정보 수집: System Info Discovery (T1082), File Discovery (T1083)
  • 수집 및 외부 전송: Archive Collected Data (T1560), C2 통신 (T1090)
  • 영향: Data Encryption (T1486)
• 결론
  • DragonForce는 전통적인 랜섬웨어와 유사하나 고급 난독화, 파일 없는 실행, 정보 유출 기능이 결합된 고도화된 위협
  • 방어 회피 및 권한 상승에 능숙하며, 감염 이후 복구를 어렵게 만드는 지속성 기법도 다수 내장
  • 전사적 백업 체계, 침해 지표 기반 탐지, 패치 관리, 네트워크 분리 등 다계층 방어 체계 필수